车载信息安全（2）

目前国内的整车厂，车载信息安全的设计与验证能力都处于比较初期的阶段，并没有一家形成了完整的信息安全设计到验证的闭环能力。

对于信息安全的设计，大部分厂商还是围绕IVI、T-Box、网关等控制器进行，单个控制器的信息安全设计体系正在逐步搭建，控制器之间的数据通信安全依赖于整车网络设计中的通信设计，目前国内整车网络通信多数还是以CAN/CAN-FD和LIN为主，CAN/CAN-FD的有效数据场的长度太小，完整版的SecOC是无法直接应用的，需要进行特殊处理，而且使用SecOC占用的有效数据场也可能带来CAN线上负载的增加。虽然车载以太网技术目前国内不止一家整车厂已经正式上车，但是个人觉得目前车载以太网还未完全成熟，对应的配套资源也是需要一定时间才能达到程度高一些的普适性。不过车载以太网的高带宽给信息安全设计也带来了利好。

对于信息安全的验证，大部分厂商还是主要进行关键部件的黑盒逆向渗透，往往采取整车关键部件打包给第三方测试机构进行外委测试的形式，不过目前很多第三方信息安全测试机构也没有形成系统的测试项目，形成的报告也是比较粗略和无章法。目前也有几家国内整车厂开始自建信息安全验证能力，多数也是围绕逆向渗透在进行。对于白盒验证，目前一个是缺少成熟的验证平台，二是饱和验证对测试人员的信息安全设计能力和代码等能力要求较高，而传统整车厂目前人员的能力多数都是无法匹配的。

不论是信息安全的设计还是验证，整车厂都面临着专业人才不足的现状，未来这一块的人才需求可能短时间也无法满足。